Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben.
Das Gremium definiert ein Risiko als "(…) das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden, einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann."[1].
Demnach besteht ein Risiko grundsätzlich aus 2 Komponenten: der Schwere eines möglichen Schadens und der Wahrscheinlichkeit, dass dieser Schaden eintritt. Diese Eintrittswahrscheinlichkeit kann wiederum neue Risiken mit sich bringen.
Schadensereignisse können z. B. durch unrechtmäßige Verarbeitungstätigkeiten entstehen oder durch Verstöße gegen die Grundsätze der DSGVO aus Art. 5, was das Grundrecht auf Datenschutz verletzt. Solche Verstöße können zu weiteren Risiken wie Diskriminierung der betroffenen Person führen. Schäden können, sowohl durch die geplante Verarbeitung selbst als auch durch Abweichungen, die eigenverantwortlich oder durch Dritte (z. B. technische Fehlfunktionen, unberechtigte Zugriffe) verursacht werden, entstehen. Risiken für die Rechte und Freiheiten natürlicher Personen können in verschiedenen Formen und Schweregraden auftreten, einschließlich physischer, materieller oder immaterieller Schäden. Immaterielle Schäden umfassen alle Grundrechtsverletzungen der betroffenen Person.
Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen